يتزايد اهتمام الشركات الإيطالية بأمن تكنولوجيا المعلومات ، في عام صعب للغاية على هذه الجبهة ، وسط اكتشاف انتهاكات 500 مليون حساب على Yahoo ، وأعمال التجسس السيبراني المزعومة خلال الانتخابات الرئاسية الأمريكية. في عام 2016 ، وصل سوق حلول أمن المعلومات في إيطاليا إلى 2016 مليون يورو في عام 972 ، زيادة 5٪ مقارنة بعام 2015 ، ب يتركز الإنفاق في الشركات الكبيرة (74٪ من الإجمالي) مقسمة بين التكنولوجيا (28٪) وخدمات تكامل تكنولوجيا المعلومات والاستشارات (29٪) والبرمجيات (28٪) والخدمات المدارة (15٪).
صرح بذلك مرصد أمن المعلومات والخصوصية التابع لكلية الإدارة في كلية الفنون التطبيقية في ميلانو ، والذي قدم صباح اليوم الخميس في المؤتمر "الجريمة الإلكترونية: التهديد غير المرئي الذي يغير العالم". وفقًا للدراسة ، على الرغم من تزايد الوعي ، في مواجهة التحديات الجديدة التي يفرضها تطوير تقنيات مثل السحابة والبيانات الضخمة وإنترنت الأشياء والجوال والشبكات الاجتماعية ، وهو نهج طويل الأجل لإدارة الأمن والخصوصية لم تنتشر بعد. مع هيكل حوكمة واضح: 39٪ فقط من الشركات الكبيرة لديها خطة استثمارية ذات أفق متعدد السنوات وفقط 46٪ منهم يشغلون منصب رئيس أمن المعلومات رسميًا ، وهو الملف الإداري المسؤول عن الأمن.
"تعد الجريمة الإلكترونية تهديدًا ملموسًا ، رغم أنه غالبًا ما يكون غير مرئي ، وقادر على التأثير في العالم ، كما يتضح من القصص الإخبارية اليومية ، والتي تتطلب أدوات ونماذج جديدة للتعامل معها - كما يقول غابرييل فاجيولي ، المدير العلمي لأمن المعلومات & خصوصية -. تتطلب اتجاهات الابتكار الرقمي الجديدة مثل السحابة والبيانات الضخمة وإنترنت الأشياء والجوال والشبكات الاجتماعية إجابات جديدة لم يعد من الممكن تأجيلها. تخلق اللائحة الأوروبية الجديدة بشأن حماية البيانات الشخصية بعض الشروط المسبقة اللازمة للوصول إلى إطار عمل مرجعي ، والذي يتطلب مع ذلك فهمه وتنفيذه. يتطلب مسار إدارة أمن المعلومات والخصوصية من الشركات وضع نماذج حوكمة وتخطيط وحلول مناسبة لمواجهة التحول ".
كما يوضح أليساندرو بيفا ، مدير مرصد أمن المعلومات والخصوصية ، "إذا قمنا بتحليل بيانات البحث بشكل أعمق ، في الواقع ، فإننا ندرك مدى تأخر المؤسسات الإيطالية الكبيرة: أكثر من نصفها لا تمتلك حتى الآن رقمًا إداريًا مقننًا لتقنية المعلومات إدارة الأمن ، وتسليط الضوء على فجوة مهمة مقارنة بما يحدث في البلدان الأخرى. علاوة على ذلك ، هناك تأخير في فهم تداعيات اتجاهات الابتكار الرقمي مثل Cloud و IoT و Big Data و Mobile على إدارة الأمن. في السياق الحالي ، هناك حاجة إلى نماذج حوكمة أكثر نضجًا ومستعرضة ، مما يضمن المزيج الصحيح من المهارات لإدارة التقنيات الأكثر انتشارًا. ومن الضروري من ناحية تصميم أنظمة قادرة على التنبؤ بالهجمات المحتملة ، ومن ناحية أخرى تطوير برامج توعية للمستخدمين من أجل تعزيز السلوك المسؤول ”.
المشاريع
المشاريع الأمنية للشركات الإيطالية في مجال الأمن موجهة بشكل أساسي نحو تحديد المخاطر والحماية من الهجمات ، في حين أن دعم الكشف عن الأحداث ومن ثم الاستجابة والتعافي لا يزال غير ناضج. في الواقع ، فإن أكثر المشاريع شيوعًا بين الشركات الكبيرة هي اختبارات الاختراق وأمن البيانات (51٪) ، وأمن الشبكة (48٪) ، وأمن التطبيقات (45٪) ، وأمن نقطة النهاية (43٪) ، ومعلومات الأمان وإدارة الأحداث (SIEM) (38٪) ، أمن الرسائل (38٪) ، أمن الويب (36٪) ، إدارة وإدارة الهوية (IGA) (32٪) ، ذكاء التهديدات (20٪) ، أمن المعاملات (19٪) ، أمن وسائل التواصل الاجتماعي (16) ٪).
من ناحية أخرى ، فإن معظم السياسات الحالية تتعلق بالنسخ الاحتياطي (89٪) ، وإدارة الوصول المنطقي (84٪) ، وتنظيم سياسات أمن تكنولوجيا المعلومات (80٪) ، وإدارة واستخدام أجهزة الشركة (72٪) ، إدارة دورة حياة البيانات (58٪) ، استخدام وسائل التواصل الاجتماعي والويب (57٪) ، الإجراءات التي سيتم تنفيذها استجابةً لحوادث تكنولوجيا المعلومات (52٪) ، سياسات تصنيف البيانات (52٪) وتشفيرها (39٪) ).
الجوال
توفر جميع الشركات الإيطالية تقريبًا (97٪) الأجهزة المحمولة لموظفيها ، بما في ذلك أجهزة الكمبيوتر المحمولة والهواتف الذكية والأجهزة اللوحية وتطبيقات الأعمال التجارية عبر الأجهزة المحمولة ، مع وجود مخاطر ليس فقط فيما يتعلق بسرقة أو فقدان الأجهزة المحمولة ، ولكن أيضًا للهجمات السيبرانية المستهدفة المحتملة. 74٪ من الشركات الإيطالية لديها مبادرات محددة للتخفيف من المخاطر المرتبطة بأمن الأجهزة المحمولة ، والتي تتعلق بكل من إدخال منصات وأدوات تكنولوجية محددة مثل حلول MDM (إدارة الأجهزة المحمولة) للحد من استخدام الأجهزة المحمولة (61٪) ، و التعريف القياسي والتقليدي للقواعد التي يجب على مستخدمي الجهاز اتباعها عند الوصول إلى أنظمة الأعمال والبيانات. وضعت 27٪ من المنظمات لوائح تحد من الوصول إلى تطبيقات وخدمات معينة من شبكات خارج الشركة و 61٪ وضعت سياسات محددة لاستخدام الأجهزة المحمولة.
سحابة
تعتمد المخاطر الرئيسية للبيئات السحابية على العلاقة مع المورد: يتمثل التهديد الأكثر أهمية بالنسبة لـ 63٪ من الشركات في الافتقار إلى السيطرة على عمليات مزود الخدمة ، بالنسبة لـ 44٪ مع المورد وخرق البيانات ، لـ 41 ٪ انعدام الشفافية فيما يتعلق بالالتزامات التعاقدية مع المورد. لذلك من الواضح أن التهديدات التكنولوجية لم تعد تهم الشركات ولكن يجب إيلاء المزيد من الاهتمام لصياغة العقد وإدارة العلاقة مع مقدمي الخدمات.
IOT
مع تطور إنترنت الأشياء ، يزداد عدد الأجهزة المتصلة بالشبكة ونقاط الوصول المحتملة للهجوم على نظام معلومات الشركة. 47٪ من المؤسسات لم تنفذ حتى الآن أي إجراء لحماية نفسها في هذا المجال ، و 41٪ تقيّم الإجراءات الممكنة ، و 13٪ لديها أمان من خلال سياسات التصميم في تصميم المنتج (تأمين بإجراءات مثل مراقبة استخدام بيانات الاعتماد وممارسات البرمجة الأفضل) ، 10٪ يستخدمون حلولاً تكنولوجية محددة ، 9٪ لديهم سياسات بشأن جمع البيانات داخل محيط الشركة و 5٪ لإدارة البيانات التي يتم جمعها بواسطة الكائنات الذكية.
الذكاء السيبراني
أصبحت التهديدات السيبرانية على نحو متزايد جزءًا لا يتجزأ من النسيج الرقمي للشركة ولا يمكن تجنب حدوث خرق أمني بنسبة 100٪ ، لذلك إلى جانب النهج التقليدي القائم على حماية الأنظمة ، بدأت الشركات في تبني منطق توقع التهديدات. يتم الإشراف على تحليل البيانات المتعلقة بعالم أمن المعلومات من قبل 57٪ من المنظمات من خلال إشراف رسمي أو غير رسمي ، بالنسبة لـ 8٪ يوجد إشراف خارج أنشطة أمن المعلومات الأساسية ، في 35٪ لا يتم تشغيله.
لا تستخدم 32٪ من الشركات البيانات لتفسير أو توقع القضايا الحرجة ، بينما بدأت نسبة 68٪ المتبقية إجراءات في هذا المجال. إن تكامل البيانات من مصادر مختلفة (بيانات الحوادث في جميع أنحاء العالم ، وعناوين IP ، والسجلات ، وعناوين URL المشبوهة من تقارير المستخدم ، وما إلى ذلك) يجعل من الممكن تطوير نماذج مراقبة التهديدات ، القادرة على اعتراض الحالات الشاذة المحتملة وإدارتها قبل أن يصبح الموقف حرجًا بالفعل. توجد في بعض الشركات هياكل خاصة داخل مراكز العمليات الأمنية ، والتي تقوم بتحليل البيانات وربطها من منظور الاستخبارات الإلكترونية.
تأمين
لا يزال سوق التأمين ضد مخاطر الإنترنت غير ناضج في إيطاليا. تهدف تغطية المخاطر السيبرانية إلى تغطية الأضرار التي تلحق مباشرة بالمشترك أو لأطراف ثالثة ، من التحقيق وإدارة الأحداث ، إلى إدارة التحقيقات الأولية ، إلى تغطية الضرر. فقط 15٪ من الشركات لديها تغطية تأمينية نشطة بالفعل ، على الرغم من أن ما يزيد قليلاً عن نصف الحالات (8٪) هي سياسات موجهة صراحةً نحو مخاطر الإنترنت ، بينما في الحالات المتبقية فهي تغطية عامة توفرها كشرط . يقوم 29٪ بتقييم التغطية التأمينية ، بينما لا يعتبر 32٪ أن سوق التأمين الإلكتروني ناضج بما فيه الكفاية أو لا يعتبرون المشكلة ذات صلة.
العامل العاشر
في أمان العامل العاشر أساسي ، عنصر عدم اليقين المرتبط بالسلوك البشري ، مثل الإلهاء أو نقص الوعي ، وغالبًا ما يستخدمه مجرمو الإنترنت لخرق أنظمة الشركة. أطلقت 95٪ من المنظمات الإيطالية بالفعل إجراءات محددة لزيادة الوعي بين مستخدمي الشركات. وتتعلق أكثر المبادرات انتشارًا بالاتصالات الدورية المرسلة إلى الموظفين عبر البريد الإلكتروني (77٪) والدورات التدريبية من خلال جلسات الفصل أو التعلم الإلكتروني (66٪). في 28٪ من الحالات ، يتم دعم التدريب أيضًا من خلال التوزيع الفوري لمواد إعلامية (قسائم ، كتيبات ، ملصقات). بالنسبة لـ 28٪ من المؤسسات ، تعد هذه مشاريع توعية منظمة حقيقية تستخدم أدوات مختلفة وغالبًا ما تغطي أفقًا متعدد السنوات. يتم أيضًا تنفيذ أنشطة تقييم الضعف على موظفي الشركة (28٪) ، على سبيل المثال عن طريق إرسال رسائل بريد إلكتروني وهمية أو محاكاة هجوم الكمبيوتر ، والتي تعمل من جهة لقياس مستوى وعي الموظف ، من جهة أخرى لاختبار فعالية نفذت بالفعل المبادرات.
الشركات الصغيرة والمتوسطة
يكشف تحليل نشر حلول أمن المعلومات بين حوالي 800 شركة إيطالية صغيرة ومتوسطة الحجم أن 93٪ من الشركات الصغيرة والمتوسطة خصصت ميزانية في عام 2016 ، على الرغم من أن هذا لا يتوافق بالضرورة مع الاستخدام الناضج والواعي. في الواقع ، الأسباب الرئيسية للاستثمارات هي الامتثال التنظيمي (48٪) والهجمات التي تعرضت لها في الماضي (35٪) ، لكنها في بعض الأحيان تتبع الحاجة إلى الاستجابة للاحتياجات التكنولوجية الجديدة (22٪) أو التجارية (31٪). تمتلك معظم الشركات الصغيرة والمتوسطة حلول أمنية أساسية (76٪) مثل برامج مكافحة الفيروسات ومكافحة البريد العشوائي ، ويصرح 62٪ أن لديهم أيضًا حلولًا متطورة ، مثل جدران الحماية أو أنظمة الكشف عن التسلل. ومع ذلك ، فإن واحدة من كل أربع مؤسسات (25٪) تسترشد بالفطرة السليمة ، دون نهج تكنولوجي محدد. 46٪ لديهم سياسات شركة واضحة المعالم ، في حين أن 10٪ فقط لديهم برامج تدريبية تهدف إلى زيادة الوعي. نهج الأمن في الشركات الصغيرة والمتوسطة موجه بشكل أساسي نحو تحديد الهوية (66٪) والحماية (66٪) ، ناهيك عن الاكتشاف (12٪) والاستجابة (15٪). يتزايد الاهتمام بالدراسة الاستقصائية مع زيادة حجم المشروع ، حيث انتقل من 11٪ من الشركات الصغيرة إلى 20٪ من الشركات المتوسطة الحجم.
"يبدو أن الشركات الصغيرة والمتوسطة تستهين بنمو الوعي بالمخاطر بين موظفيها - تلاحظ أليساندرو بيفا -. 9٪ فقط من الشركات الصغيرة (بين 10 و 49 موظفًا) لديها برامج تدريبية محددة لزيادة وعي الموارد بمخاطر تكنولوجيا المعلومات ، بينما تزداد أهمية إجراءات التوعية مع الزيادة في حجم الشركة ، لتصل إلى 20٪ للشركات الصغيرة والمتوسطة (بين 50 و 99 موظفًا) و 24٪ للشركات الأكبر (بين 100 و 249 موظفًا) ".
